CAMPANELLO DI ALLARMERISERVATEZZA DEI DATI

L’immortale “phishing” ora si annida negli SMS

Chi è vecchio del mestiere trova struggente parlare di “phishing” nel 2020, visto che sulle pagine della rivista “2600” tanto amata dagli hacker oggi con i capelli d’argento si trattava l’argomento già una trentina di anni fa.

Ma la gente continua ad abboccare agli inganni in cui con un telefono (phone) si procede alla pesca (fishing) e il sistema (il cui nome è la crasi dei termini indicati poc’anzi tra parentesi) serba una pericolosità resa insuperabile dal continuo variare delle tecniche utilizzate dai malviventi.

L’esca è stata tradizionalmente rappresentata da messaggi in posta elettronica, originariamente inconfondibili per la pletora di errori (o orrori) ortografici che ne costellavano il testo. I miglioramenti lessicali e l’estrema verosimiglianza delle comunicazioni fraudolente hanno permesso al fenomeno di non defungere a dispetto del passare del tempo e della progressiva maggiore attenzione da parte dei destinatari delle missive truffaldine.

In tempi recenti il vettore prediletto dai criminali è diventato il banale SMS, l’ormai romantico “breve messaggio di testo” che WhatsApp, Signal e Telegram sembravano aver mandato in pensione.
Possibile? Purtroppo sì.

Se in Italia c’è una certa ritrosia a fornire cifre in grado di avere una percezione “democratica” (ossia alla portata di tutti) di cosa sta accadendo, oltreoceano non si fa mistero di vittime e luoghi del delitto.

Se può non impressionare la “strage” di quasi quattromila utenti di “app” nel solo secondo semestre 2019 per il cosiddetto “mobile banking” (ovvero per la fruizione di servizi bancari attraverso lo smarphone) di alcuni istituti di credito canadesi e statunitensi, non rassicura conoscere le realtà finanziarie protagoniste di situazioni imbarazzanti e spiacevoli per la rispettiva clientela.

A farne le spese sono infatti stati correntisti e risparmiatori di Scotiabank, CIBC Bank, RBC Royal Bank, UniBank, HSBC, Tangerine Bank, TD Bank, Meridian, Laurentian, Manulife, BNC National Bank e Chase.

I messaggi trabocchetto si presentano con una estrema similitudine a quelli realmente spediti dagli istituti di credito e inducono l’utente a cliccare su un link per collegarsi a quello che dovrebbe essere il sito della propria banca. Basta lasciare liberi i polpastrelli di toccare quell’indirizzo per combinare guai e gli utenti (ripetutamente allertati per il rischio di e-mail birbaccione) non si rendono conto che la loro azione è destinata ad essere il primo passo verso conseguenze catastrofiche per le somme presenti sul conto.

Il povero sventurato si ritroverà catapultato sul clone del sito web del proprio istituto di credito. La grafica sarà la medesima e, se non si va a leggere bene l’indirizzo nell’apposito spazio nella parte superiore dello schermo (dove il browser “confessa” dove si trova davvero), i meno circospetti avranno l’impressione di trovarsi allo sportello virtuale della banca di cui sono clienti.

Su quella pagina avverrà il disastro perché l’utente inserirà le proprie credenziali (nome/codice utente e parola chiave) e i banditi – ricevuti account e password – potranno da quel momento iniziare la scalata per sostituirsi a lui. Il furto di identità parte dalla modifica del profilo con la variazione del numero di telefonino utilizzato per il rintraccio e per la comunicazione delle operazioni compiute.

A dispetto di tutte le alchimie i malintenzionati riescono ad acquisire tutti i pezzi del puzzle necessario per prendere il posto della vittima e agire in nome e per conto suo. Possono far credere alla vincita di un telefonino o ricorrere a mille altri stratagemmi che demoliscono le cautele e mostrano la fragilità dell’elemento umano nella catena di sicurezza nonostante i negazionisti di ABI-Lab continuino a sottostimare il problema e a rimarcare una marginalità che risulta solo dalle loro statistiche.

Le soluzioni, anche le più avveniristiche purtroppo, si deteriorano rapidamente per la corrosiva azione delle organizzazioni criminali che ben conoscono la fertilità di un simile terreno di gioco.

I “cattivi” (di quello che, ahinoi, non è un film) hanno imparato a sfruttare persino il protocollo Open Mobile Alliance Client Provisioning (il cosiddetto OMA CP). Riescono così a comunicare con i rispettivi bersagli con la “forza” degli operatori telefonici, inviando persino messaggi capaci di riconfigurare le impostazioni del telefonino del destinatario e a prenderne il dominio senza pretendere chissà quale interazione o collaborazione dello sfigato di turno.

Non andiamo oltre, almeno stavolta. Il tema rischia rapidamente di appesantirsi e vale la pena dosare quanto è necessario sapere.
Il problema ha sfaccettature tecnologiche e di diritto, fa saltar fuori prospettive di natura informatica e altre relative alle effettive responsabilità del cliente e della banca. Sarà l’occasione per stabilire un dialogo e limare le asperità che spesso soffiano nelle vele del contenzioso dinanzi a giudici ordinari o difensori civici di garanzia come l’Obundsman.

Chi eroga e chi fruisce di servizi bancari online devono scoprire la necessità di trovare punti di giunzione e non elementi di contrapposizione. E in questo scenario svetteranno gli istituti di credito che cercheranno di immedesimarsi nel pensionato o nella casalinga, che sapranno addolcire la sicurezza fino a farla divenire naturale, che avranno la capacità di regalare la giusta protezione invece del solito inutile gadget.

Sarà forse un giorno triste per le associazioni a tutela dei consumatori private di un artiglio tagliente, ma probabilmente si sarà fatto un passo in avanti in termini di civiltà.

La sicurezza non è solo quella calcolata da percentuali e statistiche fatte su campioni comunque poco significativi, ma – come per la temperatura – anche e soprattutto quella percepita. E il termometro in questo caso è davvero ingannevole.

Tags
Back to top button
Close
Close